WAFs在读取base64 64/十六进制编码的东西作为可疑输入时是否阻止/触发警报?或者,它们是否解码字符串(可以这样做的字符串),分析结果,然后意外地阻塞/触发一些警报?
浏览 0提问于2022-03-24得票数 -1
回答已采纳
1回答
$_GET['password']);这段代码是我为学习目的而做的ctf挑战的一部分,我不太确定如何将这些SQL语句计算为有些想法是做一个insert语句,其中密码将等于注入语句,但我不确定这是否是一个好方法。如果可能的话,我想在不修改后端数据库的情况下获得它。
我并不是真的想要一个直接的答案,但可能需要一些指导。
浏览 0提问于2018-04-07得票数 -1
1回答
如果坏的参与者在此URI中包含恶意数据,如何确保雅典娜不会被SQL注入的URI字符串渗透?雅典娜或Cloudfront在这里提供默认保护吗?
浏览 43提问于2021-09-07得票数 0
回答已采纳
我正在努力保护一个接收SQL和HTML类信息的应用程序,这些信息在某些情况下实际上是固有的公式,而在其他情况下则是XML文档的一部分。所以WAF认为一些HTTP请求是SQL或HTML注入攻击,而实际上它们不是。
那么,如何在不触发那些WAF规则的情况下发送这些公式和XML信息呢?我试着对数据进行编码,但没有成功。
浏览 0提问于2020-08-10得票数 0
1回答
但是当我查询数据时,它告诉我有sql注入,并阻塞了我查询表的IP地址。有趣的是,我的表有类别,只有当我查询"category_id=3“时才会出现问题,其他类别没有用$显示数据的has。
浏览 1提问于2019-04-11得票数 0
当从grafana 查询数据资源时,得到了403个指标。
curl --location --request GET 'https://xxx.xxx.xxx/api/datasources/proxy/1/api/v1/query?query=sum(kube_pod_container_status_restarts_total%7Bnamespace%3D%22default%22%2C%20container%3D~%22al-agent-container%22%2C%20pod%3D%22al-agent-container-hlrz2%22%7D)&time=16
浏览 3提问于2020-12-09得票数 0
回答已采纳
1回答
我在sqlmap中尝试了以下篡改脚本,但是连接仍然被WAF删除:tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encodeWARNING: there is a possibility that the target (or WAF/ISP) is dropping 'suspisious' requests.....tests
[23:18:41] [CRITICAL] previous heuristics detected that the
浏览 0提问于2019-01-30得票数 0
1回答
在安全性方面,我是个新手,但我一直对SQL注入感兴趣,特别是对如何保护它们不感兴趣。我读过很多关于如何阻止你的网站进行SQL注入的文章,但我想知道谷歌在防止黑客使用搜索方面做了些什么。
浏览 0提问于2016-10-05得票数 4
回答已采纳
仅仅依靠web应用程序防火墙来防止SQL注入是否足够?还是我应该使用其他的技巧?
浏览 0提问于2019-09-05得票数 0
回答已采纳
1回答
我试图绕过类似于/or/i的黑匣子SQL注入CTF上的过滤器。我怀疑过滤器在我和目标之间的一个WAF里。我不使用ORD()函数,而是使用ASCII()。我试图通过其他方式绕过WAF,但没有成功:双重URL编码
UTF-8编码
浏览 0提问于2022-02-11得票数 3
我正在尝试使用我的Api Gateway配置WAF,我很惊讶AWS没有提供规则模板(例如owasp前10名)。
例如,对于SQL注入,每个人都使用相同的规则,我错了吗?
浏览 0提问于2019-07-18得票数 3
我正在使用sqlmap获取一个网站的DB,并发现该站点是基于时间的布尔值易受攻击;但目标是显示SQL错误,这使我认为这将是一个注入错误。我很好奇,于是我打开了--parse-errors选项,它显示了一些SQL保留词被过滤了,比如:
AND became A_N_D, SELECT became S_E_LE_C_T ...
浏览 0提问于2017-02-11得票数 2
我正在运行一批Webapp的WAF前端,我们已经对Apps进行了常规测试,我们希望通过向测试人员展示一些生动活泼的some来改进我们的测试。什么信息,从服务器-视图,可以帮助戊酯?目的不是让测试人员远离,而是找到任何可能的方法来绕过WAF和内部保护。
编辑:这只是一个WAF测试床。应用程序中的Vulns是已知的,并且大多被标记为WONTFIX 好了!西奇!。
浏览 0提问于2013-07-09得票数 12
我正在写一个基本的WAF,现在我必须识别攻击向量。当我检测到SQL注入或任何其他类型的入侵尝试时,我需要检查通过每个$_POST和$_GET输入提交的数据。
浏览 1提问于2014-07-13得票数 0
回答已采纳
我是AWS新手,从事AWS WAF和创建ACL的工作。在这种情况下,您必须编写自定义条件和规则,并将它们与负载均衡器关联。是否必须为ACL编写规则?ACL本身不能处理一些基本攻击吗?
浏览 3提问于2019-04-26得票数 0
1回答
例如,对于SQL注入,我收集了一个包含"select“、"drop”等词的黑名单,当攻击者在查询字段中输入这些字符串时,就会检测到攻击。
浏览 1提问于2016-06-29得票数 0
3回答
当我部署了OWASP提供的核心规则集时,测试我的防火墙配置的最佳方法是什么?但是我的规则配置给了我太多的错误,我通过从核心规则集中删除许多规则来解决这个问题。现在我已经删除了一些有问题的规则,现在如何确保我的配置仍然安全。
浏览 0提问于2012-11-01得票数 1
回答已采纳
在所有者的授权下,我正在测试一个网站,当我输入一些sql查询并出现一些语法错误时,它会显示给我,但是当我用一个参数测试它时,比如
p.php?id=66+/*!60000select*/+*+/*!
浏览 0提问于2021-12-29得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
